Budowa i administracja systemów operacyjnychLaboratorium 14

Usługi katalogowe w systemie Windows

Wprowadzenie do usługi Active Directory.Usługa Active Directory jest całkowicie zintegrowana z systemem operacyjnym Wndows 2000/2003 Server i oferuje hierarchiczny widok, rozszerzalność, skalowalność oraz rozproszone zabezpieczenia. Usługa umożliwia administratorom, programistom i końcowym użytkownikom uzyskanie dostępu do usługi katalogowej bezproblemowo zintegrowanej ze środowiskiem iternetu i intranetu. Umożliwia ona administratorom i końcowym użytkownikom korzystanie z usługi katalogowej jako źródła informacji, jak również jako usługi administracyjnej.Usługa Active Directory integruje pochodzącą z internetu koncepcję przestrzeni nazw z usługą katalogową systemu operacyjnego. Obszar nazw jest strukturalnym zbiorem informacji, w którym nazwy mogą być używane do symbolicznej reprezentacji innego typu informacji, tak jak nazwa hosta reprezentuje adres IP i w którym ustalone są wyraźne zasady określania, w jaki sposób nazwy mogą być tworzone i używane. Integracja koncepcji nazw z usługą katalogową pozwala na ujednolicenie i zarządzanie wieloma obszarami nazw, które istnieją w heterogenicznych środowiskach sprzętowo-programowych w sieciach korporacyjnych. Usługa Active Directory wykorzystuje protokół LDAP (Lightweight Directory Access Protocol) i może działać bez ograniczeń systemowych, integrując wiele obszarów nazw. Może zarządzać katalogami aplikacji, jak również innymi katalogami, opartymi na sieciowych systemach operacyjnych, dostarczając katalog ogólnego użytku mogący zmniejszyć obciążenie administracyjne oraz koszty związane z utrzymywaniem wielu obszarów nazw.Usługa Active Directory nie jest katalogiem protokołu X.500. Zamiast niego korzysta z LDAP jako protokołu dostępowego i wspiera model informacji protokołu X.500, bez wymagania, aby systemy obsługiwały pełny protokół X.500. Rezultatem tego jest wysoki poziom współdziałania wspierający rzeczywiste sieci heterogeniczne.Usługa Active Directory udostępnia jeden punkt administracyjny dla wszystkich ogłaszanych zasobów, takich jak pliki, urządzenia peryferyjne, połączenia hostów, bazy danych, dostęp do sieci Web, użytkownicy, usługi i inne obiekty. Korzysta ona z internetowej usługi DNS (Domain Name System) jako usługi lokalizatora oraz organizuje obiekty w domenach w hierarchię jednostek organizacyjnych (Organizational Unit - OU) i umożliwia wielu domenom łączenie się w strukturę drzewa. Administracja jest jeszcze bardziej uproszczona, ponieważ nie występują znane z Windows NT4.0 problemy podstawowy/zapasowy kontroler domeny. Zamiast tego usługa Active Directory wykorzystuje tylko kontrolery domeny. Wszystkie kontrolery domeny są równoprawne. Administrator może wprowadzić zmiany w dowolnym kontrolerze domeny, a uaktualnienia zostaną replikowane na wszystkie inne kontrolery domeny.

Usługa Active Directory, jak wszystkie usługi katalogowe jest zasadniczo obszarem nazw. Obszar nazw jest każdą ograniczoną przestrzenią, w której istnieje możliwość przetworzenia nazwy. Przetwarzanie nazw jest procesem tłumaczenia nazw na obiekty lub informację, którą nazwa reprezentuje. Obszar nazw usługi Active Directory opiera się na schemacie nazewniczym, DNS, co umożliwia współdziałanie z technologiami internetowymi. Stosując wspólny obszar nazw można ujednolicić i zarządzać wieloma środowiskami sprzętowo-programowymi w sieci. Istnieją dwa typy obszarów nazw: ciągły i nieciągły różniące się sposobem powiązania obiektów nadrzędnego i podrzędnego (np. pliku i katalogu).

Działanie usługi Active Directory wymaga istnienia w domenie, co najmniej jednego (głównego) kontrolera domeny. Konwersje komputera z systemem Windows 2000/2003 z dowolnej wersji serwerowej wymaga uruchomienia odpowiedniego kreatora. Można to uczynić1. Z menu Start wybieramy pozycje Uruchom (Run) i w okienku wpisujemy dcpromo.exe2. Z menu Start wybieramy Narzędzia administracyjne (Administrative Tools)-> Konfiguruj ten serwer (Configure Your Server). Paskiem przesuwu zaznaczamy Domain Controller (Active Directory) (Kontroler Domeny) (Rys. 14.1) i klikamy przycisk Next (Dalej).

1

Rys. 14.1. Uruchomienie instalatora dla kontrolera domeny Windows i usługi Active Directory.

Uruchomenue instalatora może również odbyć sie z wykorzystaniem przystawki do zarządzania rolami serwera (Manage Your Server Roles). Przystawkę uruchamiamy z menu Start z zakladki Administartice Tools (Narzędzia administracyjne).

Rys. 14.2. Instalator kontrolera domeny uruchomiony z przystawki Zarządzanie rolami.Najłatwiejszym sposobem uruchomienia programu instalatora kontrolera domeny jest wpisanie w okienku Uruchom (Run) menu Start polecenia: dcpromo.W pierwszym oknie instalatora klikamy przycisk Dalej (Next). W kolejnym oknie zostawiamy wybrana opcje Kontroler domeny dla nowej domeny (Domain controller for a new domain)(Rys. 14.3). Klikamy przycisk Dalej (Next).

2

Rys. 14.3. Na wybranym komputerze instalujemy kontroler nowej domeny.

W kolejnym oknie dialogowym (Rys. 14.4) wybieramy tworzenie domeny w nowym lesie domen (Domain in a new forest). Na opcje Tworzenie nowego potomka domeny w istniejącym drzewie domen (Create a new child domain in an existing domain tree) decydujemy się wtedy, gdy w istniejącym już drzewie domen chcemy utworzyć nowa domenę. W naszym przypadku chodzi nam o utworzenie całkowicie nowego, oddzielnego drzewa w nowym, nie istniejącym jeszcze lesie domen. Klikamy przycisk Dalej (Next).

Rys. 14.4. Tworzymy nowe drzewo domen.Komputery naszej domeny, w której działa usługa katalogowa powinna być widoczna w sieci globalnej. Stad konieczność nadania jej nazwy (Rys. 14.5). W okinku dialogowym wpisujemy pełną nazwę domeny i klikamy przycisk Dalej (Next).

3

Rys. 14.5. Propozycja nazwy domeny.

Domena powinna zostać wcześniej zarejestrowana. Powinna zostać również wpisana na najbliższym, uznanym serwerze DNS. W przypadku domeny omawianej w opracowaniu jej pelna nazwa to: krakow.dydaktyka.icsr.agh.edu.pl i została ona zarejestrowana w domenie: dydaktyka.icsr.agh.edu.pl.Ponieważ usługi katalogowe Windows wykorzystują protokół NetBIOS konieczne jest również podanie nazwy domeny dla potrzeb tego protokołu. Instalator podpowiada nazwę, będącą pierwsza częścią nazwy DNS (Rys. 14.6). Zatwierdzamy nazwę klikając przycisk Dalej (Next).

Rys. 14.6. Nazwa domeny dla protokołu NetBIOS.

W kolejnym oknie kreatora decydujemy o położeniu na dysku serwera pliku bazy danych usługi Active Directory i pliku diagnostyki (dziennika - log). Dla poprawnego działania aplikacji systemowych oraz w celu uniknięcia późniejszych problemów z konfiguracja komponentów usługi katalogowej zaleca się pozostanie przy proponowanych ustawieniach (Rys. 14.7). Niektórzy zalecają rozdzielenie pliku bazy danych i pliku dziennika na dwa fizyczne dyski. Rozwiązanie to stosujemy w dużych domenach dla

4

zwiększenia wydajności bazy danych usługi.

Rys. 14.7. Katalogi plików bazy danych i diagnostyki (dziennika) usługi Active Directory.

Kolejne okno umożliwia specyfikacje katalogu występującego na kontrolerze domeny, współdzielonego przez wszystkie komputery w domenie (katalogu systemowego – domyślna lokalizacja %systemroot%\Sysvol). Katalog jest wykorzystywany głównie do komunikacji, dla utrzymania spójności danych w bazie Active Directory. Zawiera skrypty i niektóre obiekty zasad grup dla domeny. Jest udostępniony i musi znajdować się na wolumenie partycji sformatowanej w systemie plików NTFS 5.0. Również i tutaj pozostajemy przy proponowanej nazwie i klikamy przycisk Dalej (Next) (Rys. 14.8).

Rys. 14.8. Specyfikacja folderu systemowego dla potrzeb usługi Active Directory.

Jakiekolwiek braki w konfiguracji DNS objawia się w kolejnym oknie. Jeśli nie mamy połączenia ze światem zewnętrznym lub nasza domena nie została zarejestrowana lub nie mamy poprawnie skonfigurowanej usługi DNS pojawi się okno ostrzeżenia, a następnie okno dialogowe instalacji DNS jak na rysunku 14.9. Klikamy przycisk Dalej (Next).

5

Rys. 14.9. Automatyczna instalacja i konfiguracja DNS.

Kolejne okno instalatora umożliwia zdecydowanie o sposobie dostępu do zasobów usługi Active Directory serwera z komputerów domeny. Jest on wymagany przez niektóre aplikacje. Jeśli w domenie maja pracować komputery z systemem starszym od Windows 2000 wybieramy opcje pierwsza. Jeśli nasza domena składa się z komputerów pracujących tylko pod kontrola systemu Windows 2000 wybieramy opcje druga (Rys. 14.10).

Rys. 14.10. Określenie sposobu dostępu do zasobów usługi Active Directory.

W kolejnym oknie podajemy oraz weryfikujemy hasło, które może zostać wykorzystane w przypadku odtwarzania zawartości bazy danych usługi AD, np. po awarii systemu (Rys. 14.11).

6

Rys. 14.11. Hasło administratora domeny.

Na zakończenie pojawia się okno podsumowania. Naciskamy przycisk Dalej (Next) uruchamiając proces instalacji usługi. Na zakończenie pojawia się okno podsumowania. Po kliknieciu przycisku Zakończ (Finish) restartujemy komputer. Serwer domeny jest gotowy do pracy.

0. Podłącz się do dowolnego komputera na stanowisku jako użytkownik Administrator.1. Wyłącz wszystkie interfejsy sieciowe, które są fizycznie odłączone. Dla działającego interfejsu skonfiguruj ręcznie właściwości protokołu TCP/IP jak w ćwiczeniu do laboratorium 13. Nadaj nazwę hosta, grupy roboczej oraz prefix DNS w oparciu o tabelę 13.1 na str. 6 laboratotium 13.2. Dokonaj konwersji skonfigurowanego w poprzednim kroku komputera do kontrolera domeny z usługą Active Directory.

Po ponownym uruchomieniu serwera jego identyfikacja sieciowa powinna wyglądać jak na rysunku 14.12 ( z dokładnością do nazwy komputera i domeny).

Rys. 14.12. Identyfikacja sieciowa serwera domeny.Zmiana nazwy kontrolera domeny (przeniesienie go do innej domeny), jeśli ten został zbudowny z wykorzystaniem systemu Windows2000 jest wogóle niemożliwa. W przypadku kontrolera z systemu Windows 2003 nazwę kontrolera można zmenić, ale z zachowaniem wskazówek opisanych w oknie przedstawionym na rysunku 14.13.

7

Rys. 14.13. Warunki zmiany nazwy kontrolera domeny.

Podłączanie komputera do domeny.Dowolny komputer podłączamy do domeny zmieniając jego specyfikacje w środowisku sieciowym. W tym celu klikamy prawym przyciskiem myszy na ikonke Mój komputer (My Computer) na pulpicie i z menu wybieramy pozycje Właściwości (Properties). Z okienka Właściwości (Properties) wybieramy zakładkę Identyfikacja sieciowa (Network Identification) i klikamy przycisk Chane (Zmień) (Rys. 14.14).

Rys. 14.14. Identyfikacja sieciowa komputera.

Pojawi się kolejne okienko, w którym nasz komputer będzie widziany jako członek grupy roboczej (Rys. 14.15). Zaznaczamy opcje Domena (Domain) w ramce Członkostwo (Member of) i w okienku dialogowym wpisujemy nazwę krótką domeny (np. KRAKOW).

8

Rys. 14.15. Zmiana identyfikacji komputera w celu podłączenia go do domeny o nazwie lab14.

Jeśli domena została znaleziona, to pojawi się okienko dialogowe, w którym podajemy nazwę użytkownika (Administrator) i hasło umożliwiające dostęp do zasobów usługi Active Directory. Jest to to samo hasło, które zostało podane podczas instalacji usługi na serwerze. Klikamy przycisk OK.

Rys. 14.16. Nazwa użytkownika i hasło umożliwiające podłączenie do domeny.

Po poprawnym podłączeniu do domeny pojawi się okno z komunikatem powitania (Rys. 14.17).

Rys. 14.17. Poprawne podłączenie komputera do domeny.

Komputer należy przeładować. W tym momencie zmieniają się sposób podłączania się do systemu

9

(użytkownicy lokalni i domenowi) oraz dostęp do zasobów domeny.

3. Na pozostałych komputerach stanowiska zmień ich identyfikacje sieciową, tak aby podłączyć je do domeny o nazwie wykorzystanej podczas konfiguracji serwera. Wyłącz nie podłączone interfejsy sieciowe, nadaj statyczne adresy IP, zmień nazwy i prefix DNS opierając się na danych z tabelki 13.1.

Po przeładowaniu komputerów klienckich możemy sprawdzić ich obecność w domenie. W tym celu na serwerze domeny uruchamiamy z menu Start->Programy (Programs)-> Narzędzia Administracyjne (Administrative Tools)->Użytkownicy i komputery Active Directory (Active Directory Users and Computers). Rozwijając linie Komputery (Computers) w lewym fragmencie okna w prawym powinny pojawić się charakterystyki wszystkich komputerów członkowskich w domenie (Rys. 14.18).

Rys. 14.18. Komputer(y) w domenie lab14.

Dodawanie użytkownika domenowego.Użytkownika domenowego dodajemy na serwerze domeny po podłączeniu się do systemu jako Administrator. Z menu Start wybieramy pozycje Programy (Programs)-> Narzędzia administracyjne (Administrative Tools)->Użytkownicy i komputery Active Directory (Active Directory Users and Computers). W lewej czesci okna aplikacji (Rys. 14.19) klikamy dwukrotnie lewym przyciskiem myszy na ikonke naszej domeny. W rozwinięciu pokażą się wszystkie składniki usługi Active Directory. Klikamy lewym przyciskiem myszy na składnik Użytkownicy (Users). W oknie po prawej stronie pojawi się lista użytkowników domenowych. Aby dodać użytkownika klikamy prawym przyciskiem myszy na wolnym polu prawej czesci okna aplikacji i z menu skrótu wybieramy pozycje Nowy (New), a następnie Użytkownik (User) (Rys. 14.19).

10

Rys. 14.19. Dodanie użytkownika domenowego.

W pierwszym oknie opisu użytkownika (Rys. 14.20) podajemy jego rzeczywiste imię i nazwisko. Założenie użytkownika bez podania imienia i nazwiska jest możliwe, lecz absolutnie nie zalecane. Proponujemy również nazwę w systemie (User logon name). Przykładowy użytkownik będzie mógł się podłączać z każdego komputera postawionego w domenie lab14. Po wypełnieniu wszystkich okienek dialogowych klikamy przycisk Dalej (Next...).

Rys. 14.20. Podstawowe dane użytkownika.

11

W kolejnym okienku dialogowym ustalamy pierwsze hasło użytkownika. Nie jest dopuszczalne podanie hasła pustego. Mamy wówczas konto, na które każdy może się zalogowac. Hasło powinno składać się z liter dużych i małych (rozróżnialne) i cyfr. Długość 6-8 znaków. Zalecane jest zaznaczenie konieczności zmiany hasła przy kolejnym logowaniu się, jak na rysunku 14.21. Klikamy przycisk Dalej (Next).

Rys. 14.21. Ustalenie hasła użytkownika i podstawowych opcji konta i hasła.

Ostatnie okienko zawiera podsumowanie (Rys. 14.22). Klikamy przycisk Zakończ (Finish).

Rys. 14.22. Podsumowanie informacji o nowym użytkowniku w domenie lab14.

Od tej pory użytkownik o nazwie w systemie fasola może podłączać się korzystając z dowolnego

12

komputera zainstalowanego w domenie lab14. Użytkownik ten pojawił się również z okienku aplikacji. Jego właściwości są dostępne po dwukrotnym kliknieciu lewym przyciskiem myszy na linie opisu użytkownika w prawym oknie aplikacji. Przykład dostępnych opcji pokazano na rysunku 14.23.

Rys. 14.23 Właściwości użytkownika w domenie Windows 2000.

4. Na komputerze będącym serwerem domeny załóż konta dla dwóch rożnych użytkowników. Sprawdź poprawność operacji próbując podłączyć się z dowolnego komputera jako jeden z nowo założonych użytkowników.

Jednym z aspektów bezpieczeństwa systemu są założenia dotyczące haseł użytkowników. Aplikacje Polityk bezpieczeństwa domeny (Domain Security Policy) uruchamiamy z menu Start-> Programy(Programs)->Narzędzia Administracyjne (Administrative Tools)->Polityki bezpieczeństwa domeny (Domain Security Policy) (Rys. 14.24).

13

Rys. 14.24. Założenia polityki bezpieczeństwa w domenie w odniesieniu do haseł użytkowników.

5. Sprawdź skuteczność założeń polityki bezpieczeństwa domeny w odniesieniu do haseł użytkowników zmieniając wartości kluczy w prawym oknie aplikacji. Zwróć uwagę na zależności miedzy kluczami.

Usługi terminalowe.

Są to usługi typu klient-serwer. Oprogramowanie po stronie serwera jest instalowane podczas instalacji systemu operacyjnego Windows2003. W systemie Windows2000 instalacja podczas instalacji systemu operacujnego jest opcjonalna. Stąd jeśli nie została ona zainstalowana, to jednym ze sposobów uzupełnienia braków jest skorzystanie z Mój komputer (My Computer)->Panel sterowania (Control Panel)->Dodaj/Usuń programy (Add/Remove Programs)->Dodaj/Usuń komponenty systemu Windows (Add/Remove Windows Components) (Rys. 14.25).

Rys. 14.25. Okienko dialogowe dodawania i usuwania zainstalowanego oprogramowania.

Po wybraniu zakładki Dodaj/Usuń komponenty Windows (Add/Remove Windows Components) pojawi się okienko z listą komponentów systemu. Te zainstalowane są zaznaczone „ptaszkiem” (Rys. 14.26). Przesuwamy suwak po prawej stronie okienka wyboru do Usług terminalowych (Terminal Services) i jeśli

14

nie są zaznaczone - zaznaczamy je. Następnie klikamy przycisk Dalej (Next). Instalacja wymaga umieszczenia w napędzie płytki CD z instalacją systemu. Po zakończonej instalacji restartujemy system.

Rys. 14.26. Instalacja usługi terminalowej.

6. Sprawdź, czy w systemie została zainstalowany serwer usług terminalowych. Jeśli nie to zainstaluj go. Wybierz tryb pracy umożliwiający zdalną pracę wszystkim użytkownikom.

Ustawienia Usługi terminalowej znajdują się w aplikacji Konfiguracja Usług terminalowych (Terminal Services Configuration) uruchamianej z menu Start->Programy (Programs)->Narzędzia administracyjne (AdministrativeTools)->Konfiguracja usługi terminalowej (Terminal Services Configuration).

15

a)

b)

Rys. 14.27. Ustawienia usługi terminalowej po stronie serwera ( a – Windows2000, b - Windows2003).

7. Sprawdź, czy ustawienia serwera usługi terminalowej są identyczne jak na Rysunku 14.27. Jeśli występują różnice spróbuj je usunąć.

Kolej na klienta usługi. Tu istnieje kilka możliwości. Klient może pracować w systemie Unix. Wówczas z sieci ściągamy kod źródłowy programu rdesktop, konfigurujemy go (poleceniem ./configure), kompilujemy (poleceniem make) i program jest gotowy do użycia. Instalacja klienta w systemie Windows2000 wymaga stworzenia dwóch (lub czterech) dyskietek instalacyjnych. W tym celu uruchamiamy menu Start ->Programy (Programs) -> Narzędzia administracyjne (Administrative Tools)->Kreator klienta usługi terminalowej (Terminal Services Klient Creator) (Rys. 14.28). Wybieramy wersję dla Windows 32-bitowych, zaznaczamy opcję Formatuj dysk(i)(Format disk(s)), umieszczamy w stacji pierwszą dyskietkę i klikamy przycisk Ok. Instalator sam upomni się o kolejne dyskietki.

Rys. 14.28. Okienko kreatora dyskietek instalacyjnych klienta usługi terminalowej dla systemu Windows.

8. Dla systemu Windows2000 twórz dyskietki instalacyjne dla klienta usługi terminalowej.

16

Właściwie wykorzystamy tylko drugą dyskietkę. Przed uruchomieniem klienta kopiujemy z drugiej dyskietki instalacyjnej program MSTSC na pulpit i uruchamiamy go. W oknie dialogowym pojawi się lista komputerów będących klientami usługi terminalowej. Wybieramy żądany i klikamy przycisk Ok. Podłączanie się do systemu przebiega jak z konsoli.

Dla systemu Windows2003 problem rozwiązuje się sam, gdyż klient usługi terminalowej, podobnie jak serwer, zostaje zainstalowany podczas instalacji sameo systemu. Wystarczy go jedynie uruchomić. Pojawia się jednak konieczność udostępnienia usługi do zdanego wykorzystania oraz zdefiniowania użytkowników, którzy mogą podłączać się do konkretnego hosta, na którym pracuj serwer usługi terminalowej. W tym celu należy wejść do Właściwości systemu (System properties) i wybrać zakładkę Zdalny (Remote) (rysunek 14.29).

Rys. 14.29. W zakładce Zdalny (Remote) Właściwości systemu umożliwiamy korzystanie z usługi terminalowej oraz definiujemy uprwanionych żytkowników.

W pierwszym kroku wybieramy opcję Udostępnij zdalny pulpit tego komputera (Enable Rmote Desktop on this computer), a następnie klikamy na przycisk Wybierz zdalnych użytkowników (Select Remote Users) i definiujemy uprawnionych do korzystania z usługi.Po stronie klienta program zdalego pulpitu uruchamiamy pisząc w okienku Uruchom (Run) menu Start: mstsc.

9. Udostępnij usługę terminalową na kontrolerze domeny. Podłącz się jako użytkownik Administrator do kontrolera domeny z dowolnego serwera korzystając z usługi terminalowej. Sprawdź, czy takie połączenie jest możliwe dla dowolnego użytkownika?

System Windows wyposażony został w narzędzie do monitorowania serwera usług terminalowych.

17

Uruchamiamy menu Start ->Programy (Programs) -> Narzędzia administracyjne (Administrative Tools)->Zarządca Usługi Terminalowej (Terminal Services Manager) (Rys. 14.29). Okienko aplikacji podzielone zostało na dwie części. W lewej znajduje się informacja o topologii połączeń, zaś w prawej szczegółowa informacja o wybranym połączeniu. Dostępne jest menu kontekstowe (prawy przycisk myszy) pozwalające zarządzać połączeniem.

10. Uruchom zarządcę serwera usług terminalowych. Określ, ilu użytkowników korzysta z usługi w systemie. Korzystając z menu kontekstowego spróbuj przerwać dowolną sesję.

Rys. 14.29. Okienko zarządcy serwera usług terminalowych.

Kończenie pracy klienta usługi terminalowej przebiega podobnie jak odłączanie się od systemu z wykorzystaniem konsoli. Pojawia się jednak dodatkowa możliwość nazwana rozłączeniem (Disconnect). Wybranie jej spowoduje, że uruchomione w sesji aplikacje na serwerze nie zostaną zakończone, a po ponownym podłączeniu się do serwera z wykorzystaniem usługi terminalowej zastaniemy pulpit w stanie, w jakim pozostawiliśmy go w momencie odłączania się od systemu.

11. Jeśli jesteś podłączony do serwera z wykorzystaniem usługi terminalowej odłącz się wybierając pozycję wyloguj (Log Off). Usuń z pulpitu klienta usługi terminalowej.

18